Grain Overlay
4. März 2025

Business Impact Analyse (BIA)

Business Impact Analyse (BIA)

Management Summary

Business Impact Analyse (BIA) ist ein wesentlicher Bestandteil eines Business Continuity Management Systems (BCMS) und analysiert die Auswirkungen der Unterbrechungen auf die Geschäftskontinuität als einer Organisation, eines Unternehmens oder einer Behörde, um die Resilienz zu stärken. In diesem Artikel wird zunächst BIA beschrieben, dann werden die Schritte „Vorbereitung, Durchführung und Auswertung“ praxisnah erklärt und abschließend die Erfahrungen als Lessons & Learned erläutert. Grundsätzlich basiert dieser Beitrag auf BSI-Standard 200-4 „Business Continuity Management“. Lesezeit 10 Minuten. | Author: Ayhan Dagli

Was ist Business Impact Analyse (BIA)

Bei der Sicherstellung der Geschäftskontinuität ist die Business Impact Analyse (BIA) ein wichtiges Kernelement. Während einer BIA untersuchen die Unternehmen, welche Geschäftsprozesse zeitkritisch sind und ab wann deren Ausfälle nicht tolerierbare Auswirkungen haben. BIA trägt zur Stärkung der Widerstandsfähigkeit eines Unternehmens bei und stellt sicher, dass die kritische Geschäftsprozesse auch in Notfallsituationen fortgeführt werden können.

Die BIA konzentriert sich auf die potenziellen Auswirkungen eines Geschäftsprozessausfalls, nicht auf dessen Ursachen oder Wahrscheinlichkeiten. Ob ein Geschäftsprozess aufgrund der Nichtverfügbarkeit des Gebäudes durch Feuer, Hochwasser, Stromausfall, einer zwingend benötigten IT-Anwendung oder des Dienstleistungsunternehmens ausfällt, spielt daher für die BIA und die Identifizierung zeitkritischer Geschäftsprozesse keine Rolle. Darüber hinaus wird in einer BIA nicht nur die Auswirkungen für das Unternehmen bewertet, sondern auch, wie sich der potenzielle Schaden zeitlich entwickelt.

Das Ergebnis der BIA zeigt, welche Geschäftsprozesse und Ressourcen zeitkritisch sind und daher in den nachfolgenden Schritten des BCM berücksichtigt werden müssen, besonders im Soll-Ist-Vergleich bzw. in Geschäftsfortführungs- und Wiederanlaufplänen.

Ein Überblick über die BIA-Schritte ist unten dargestellt.

Graphische Darstellung der BIA-Schritte
Graphische Darstellung der BIA-Schritte
Kurze Beschreibung der BIA-Schritte
Kurze Beschreibung der BIA-Schritte

Vorbereitung der BIA

Eine erfolgreiche und reibungslose Durchführung einer BIA erfolgt durch strukturierte Vorbereitungsphase. Der/Die BCB legt die Methodik und Vorgehensweise fest, kann aber die vorbereitenden Tätigkeiten ganz oder teilweise an weitere Rollen im BCM delegieren.

Erhebung der Geschäftsprozesse

Zunächst werden die Geschäftsprozesse identifiziert, die innerhalb der BIA bewertet werden sollen. Unternehmen können hierzu möglicherweise auf vorhandene Übersichten über ihre Geschäftsprozesse zurückgreifen. Dafür kann die Prozesslandkarte ein hilfreiches Werkzeug sein. Liegt keine aktuelle Übersicht der Geschäftsprozesse und ihrer Abhängigkeiten vor, so muss diese im Rahmen der BIA erhoben oder aktualisiert werden.

Synergiepotenzial: Liegt ein ISMS nach BSI-Standard 200-2 oder nach ISO-Norm 27001 vor, können die dort identifizierten Geschäftsprozesse als Grundlage verwendet werden.

Festlegung der BIA-Parameter und betrachteten Zeithorizonte

Die Anzahl und Unterteilung der Zeithorizonte sollten nachvollziehbar gewählt werden und sich an den Gegebenheiten des Unternehmens ausrichten. Deswegen ist es empfehlenswert, in fünf bis acht Zeithorizonte festzulegen, wie z. B. 24 Stunden, 3 Tage, 7 Tage, 14 Tage und 30 Tage.

Neben den Zeithorizonten wird auch das Schadenspotenzial festgelegt, das aus den Schadensszenarien und den Schadenskategorien [z. B.: 1 (gering), 2 (mittel),            3 (hoch), 4 (sehr hoch)] abgeleitet wird. Innerhalb der BIA sollten mindestens die folgenden Schadensszenarien berücksichtigt werden:

• Beeinträchtigung der Aufgabenerfüllung

• Verstoß gegen Gesetze, Vorschriften und Verträge

• Negative Innen- und Außenwirkung (Imageschaden)

• Finanzielle Auswirkungen

• Beeinträchtigung der persönlichen Unversehrtheit

Das Untragbarkeitsniveau ist ein weiterer Parameter und definiert, ab welchem Schadenspotenzial die Auswirkungen eines Ausfalls durch das Unternehmen nicht länger toleriert werden können.

Synergiepotenzial: Sofern bereits ein ISMS nach BSI-Standard 200-2 vorliegt, können die in der Schutzbedarfsfeststellung definierten Schadensszenarien und Schadenskategorien als Grundlage genutzt werden. Dies fördert die Vergleichbarkeit von Ergebnissen zwischen dem BCMS und ISMS.

Festlegung der Ressourcenkategorien und -cluster

Grundsätzlich benötigt ein Unternehmen für sein Geschäftsbetrieb Strom, Wasserversorgung, Klimatechnik etc. Es ist jedoch nicht zweckmäßig, diese Ressourcen für jeden Geschäftsprozess einzeln zu erheben, da diese für die Aufrechterhaltung des gesamten Geschäftsbetriebs vorausgesetzt werden.

Deswegen müssen in der BIA die Ressourcen, die für einen Geschäftsprozess spezifisch benötigt sind, ermittelt werden. Diese Ressourcen können in verschiedene Ressourcenkategorien unterteilt werden, bspw. IT, Personal, Infrastruktur und Dienstleistungen. Es ist empfehlenswert, die Anzahl und Beschreibung der Ressourcenkategorien an die Bedürfnisse des Unternehmens anzupassen. Andererseits können innerhalb bestimmter Ressourcenkategorien, z. B. der IT, mitunter sehr viele einzelne Ressourcen vorhanden sein. Es ist sinnvoll,  diese Ressourcen zu Clustern zusammenzufassen. Das gängigste Beispiel für ein Cluster ist der Arbeitsplatz.

Synergiepotenzial: Liegt ein ISMS nach BSI-Standard 200-2 vor, können Informationen aus der Strukturanalyse für die Bezeichnung verschiedener Ressourcen übernommen werden oder über die Gebäudeverwaltung können häufig Arbeitsplatz-Definitionen sowie Raumlisten abgeleitet werden.

Planung der BIA-Erhebung

Vor Beginn der BIA sollte festgelegt werden, wie die Informationen zur BIA erhoben werden sollen. Hierzu bieten sich verschiedene Formate an, z. B. Selbstauskunft,  Einzelinterviews, Workshops oder Mischformat. Workshops können für erstmalige BIA-Durchführung vorteilhaft sein, damit die Verantwortlichen ein gemeinsames Verständnis haben können.

Vorbereitung der BIA-Hilfsmittel

Es kann unterschiedliche Hilfsmittel vorbereitet werden, die Ergebnisse des BIA-Durchlaufs einheitlich und nachvollziehbar dokumentiert werden bzw. den Verantwortlichen zu informieren oder von denen Informationen zu sammeln. Unterschiedliche Hilfsmittel wurden als Vorlage vom BSI in der Website kostenlos zur Verfügung gestellt.

In der Praxis wurden besonders die Hilfsmittel „Präsentationsvorlage zur BIA“ bzw. „BIA-Auswertungsbogen“ effektiv verwendet. Erfahrungsgemäß ist es jedoch empfehlenswert, dass die Daten durch separate Tabellen/Hilfsmittel zu erheben und Schritt für Schritt im Auswertungsbogen zu erfassen. Die zu diesem Zweck erstellten zusätzlichen Hilfsmittel, die aus dem BSI-Standard 200-4 abgeleitet sind, sind wie folgendes:

• Bewertung des Schadenspotenzials (200-4; Tabellen 18, 19 u. 20; Seiten 178, 179 u. 180)

• Festlegung der MTPD der Geschäftsprozesse  (200-4; Tabelle 21; Seite 181)

• Begründung des Schadenpotenzials  (200-4; Tabelle 22; Seite 182)

• Notbetriebsniveau  (200-4, Tabelle 23, Seite 184)

• Festlegung der RTO und RPO der Ressourcen der zeitkritischen Geschäftsprozesse  (200-4, Tabellen 24 und 26; Seiten 189 und 191)

• Anzahl Arbeitsplätze oder Personal im Notbetrieb. (200-4; Tabelle 25, Seite 190)

Durchführung der BIA

Abhängig von der organisatorischen Planung erfolgt die Durchführung der BIA entweder in Form von Workshops mit mehreren Personen oder eigenständig durch die zuständigen Kontaktpersonen.

Identifizierung zeitkritischer Geschäftsprozessen

In der Identifizierung zeitkritischer Geschäftsprozesse wird der potenzielle Schaden für das Unternehmen untersucht, den der Ausfall von Geschäftsprozessen verursachen könnte.

Bewertung des Schadenpotenzials von Geschäftsprozessen

Das Schadenspotenzial jedes Geschäftsprozesses im GP-Umfang muss mithilfe der bereits definierten Schadensszenarien und Schadenskategorien über verschiedene Zeithorizonte hinweg bewertet werden. Dies sollte von den Kontaktpersonen für die Geschäftsprozesse durchgeführt werden. Je nach Bedarf können weitere Fachexperte einbezogen werden, um das Schadenspotenzial in Fachbereichen zu bewerten. Für die Bewertung kann folgende Leitfrage stellen.

Leitfrage: Wenn der Geschäftsprozess „ABC, DEF etc.“ ausfällt, mit welchem Schadenspotenzial [1 (gering), 2 (mittel), 3 (hoch), 4 (sehr hoch)] ist bei einem Ausfall bis zu [24 Stunden, 3 Tage, 7 Tage, 14 Tage, 30 Tage] zu rechnen?

Festlegung der MTPD / MTA bzw. RTO

Um die MTPD (Maximum Tolerable Period of Disruption) / MTA (Maximal tolerierbare Ausfallzeit) eines Geschäftsprozesses zu bestimmen, sollte der kleinste Zeithorizont gewählt werden, bei dem das Untragbarkeitsniveau erreicht wird, da ab diesem Zeitraum der Ausfall nicht mehr toleriert werden kann. Für die zeitkritischen Geschäftsprozesse wird zusätzlich RTO (Recovery Time Objective / Die geforderte Wiederanlaufzeit) festgelegt. Dieser Zeitraum sollte kleiner als MTPD / MTA sein.

Festlegung des Notbetriebsniveaus

Um zwingend erforderlichen Prozess- und Ressourcenabhängigkeiten ermitteln zu können, muss vorab festgelegt werden, welches Notbetriebsniveau ein zeitkritischer Geschäftsprozess erreichen soll. Hierzu genügt eine stichpunktartige Beschreibung, welche Aktivitäten des Geschäftsprozesses innerhalb des Notbetriebs aufrechterhalten werden sollen und welche Aktivitäten zurückgestellt werden können (Priorisierung). Je nach Aufgaben- oder Geschäftszweck ist auch eine prozentuale Angabe des Notbetriebsniveaus möglich.

Bewertung des Schadenpotenzials (Abgeleitet aus der BIA-Präsentation vom BSI)
Bewertung des Schadenpotenzials (Abgeleitet aus der BIA-Präsentation vom BSI)
Festlegung MTPD / MTA (Abgeleitet aus der BIA-Präsentation vom BSI)
Kenngrößen in der BIA (Abgeleitet aus der BIA-Präsentation vom BSI)

Identifizierung der Prozessabhängigkeiten

Die Geschäftsprozesse können entweder aufgrund des Ausfalls der Ressourcen oder  der Nichtverfügbarkeit benötigter Geschäftsprozesse ausfallen. Daher muss für alle zeitkritischen Geschäftsprozesse ermittelt werden, ob für einen Notbetrieb eine unverzichtbare Abhängigkeit zu anderen Geschäftsprozessen besteht. Diese Abhängigkeit kann sich durch vor- oder nachgelagerte, gegebenenfalls auch parallel aufeinander aufbauende Tätigkeiten ergeben.

Identifizierung der Ressourcenabhängigkeiten

Für alle zeitkritischen Geschäftsprozesse müssen die für einen Notbetrieb erforderlichen Ressourcen ermittelt und den entsprechenden Geschäftsprozessen zugeordnet werden. Erfahrungsgemäß wird nicht jede Ressource, die von einem Geschäftsprozess im Normalbetrieb genutzt wird, auch automatisch in einem Notbetrieb benötigt. Daher sollten in dieser Phase die Ressourcen überprüft, ggf. verzichtet oder ergänzt werden.

RTO der benötigten Ressourcen

Zusätzlich zur RTO der Geschäftsprozesse ist die RTO der benötigten Ressourcen zu ermitteln. Falls mehrere Geschäftsprozesse auf dieselbe Ressourcen zurückgreifen, muss die kleinste RTO für diese Ressource gewählt werden. Tools, wie z. B. BIA-Auswertungsbogen vom BSI verfügen u.a. über diese Möglichkeit.

Ressourcenbedarf in Abhängigkeit zur Dauer des Notbetriebs

Für viele Ressourcenkategorien (Personal und Arbeitsplätze, aber auch Maschinen oder Arbeitsmittel) kann sich die Anzahl der benötigten Ressourcen mit der Dauer des Notbetriebs verändern. Für diese Ressourcenkategorien ist es daher empfehlenswert, die Anzahl der benötigten Ressourcen über die definierten Zeithorizonte im Notbetrieb zu erheben. So kann das ansteigende Arbeitsvolumen sowie die noch vorhandene Kapazität berücksichtigt und die Arbeitslast angemessen verteilt werden.

RPO der informationsbasierten Ressourcen

Bei den informationsbasierten Ressourcenkategorien, beispielsweise Informationen und IT (Daten), ist zusätzlich die RPO (Recovery Point Objective / Maximal tolerierbarer Datenverlust) zu bestimmen. Als RPO genügt oft das Datensicherungsintervall des Normalbetriebs.

Identifizierung vorhandener Single Points of Failure (SPoFs)

Wenn viele zeitkritische Geschäftsprozesse eine einzelne Ressource benötigen, stellt diese ein erhöhtes Risiko für eine Geschäftsunterbrechung dar. Üblicherweise werden solche Ressourcen als Single Point of Failure bezeichnet. Diese sollten identifiziert und risikoorientiert abgesichert werden.

Auswertung der BIA

Nachdem die BIA durchgeführt wurde, müssen die Ergebnisse qualitätsgesichert und zusammengefasst werden. Um ein einheitlich hohes Qualitätsniveau der BIA-Ergebnisse sicherzustellen, müssen die Ergebnisse bezüglich ihrer Vollständigkeit, Korrektheit und Nachvollziehbarkeit überprüft werden. Es ist wichtig, zu überprüfen, ob sämtliche notwendigen Informationen erhoben sowie die Schadensanalyse formal korrekt vorgenommen wurde und ob die Begründung der Schadensanalyse plausibel erscheint.

Dazu sollten die Einzelergebnisse zu einer Gesamtübersicht zusammengefasst werden. Der Gesamtübersicht sollte mindestens die folgenden Inhalte umfassen:

• Übersicht der zeitkritischen Geschäftsprozesse und zugehörigen Kontaktpersonen,

• Übersicht der Prozessabhängigkeiten sowie

• Übersicht der abhängigen Ressourcen sowie deren RTO bzw. RPO.

Lessons & Learned einer BIA-Durchführung

– Die BIA wurde grundsätzlich nach dem BSI-Standard 200-4 vorbereitet und durchgeführt, jedoch wurden auch die Ansätze unterschiedlicher Normen / Standards berücksichtigt.

– Als Synergieeffekt wurden die Geschäftsprozesse bzw. die Ressourcen aus dem Informationssicherheitsmanagementsystems (ISMS), das mit BCMS parallel implementiert wurde, als Grundlage verwendet.

– Die BIA-Parameter, die im BSI-Standard 200-4 vorgeschlagen sind, wurden von der Unternehmenssleitung bewertet und angenommen. Darüber hinaus wurden die Schadenskategorien und -szenarien mit denen in der Schutzbedarfsfeststellung im ISMS abgestimmt.

– Das Hilfsmittel vom BSI „Präsentation zur Erläuterung der BIA“ wurde den Anforderungen des Unternehmens angepasst und im Laufe der BIA effektiv benutzt.

– „BIA-Auswertungsbogen“ wurde sowohl zur Durchführung als auch zur Auswertung der BIA als Hilfsmittel / Tool benutzt. Dazu wurden zusätzliche separate Tabellen / Tools erstellt und zur Erhebung der Daten verwendet (sozusagen: Hilfsmittel zum Hilfsmittel).

– Es wurde festgestellt, wie wichtig die Unterstützung und Mitwirkung der Leitungen der Unternehmen oder Organisationseinheiten sind, damit die BIA rechtzeitig, vollständig und korrekt erstellt werden kann.

– Bei der Vorbereitung und Durchführung wurden verschiedene Formate (Mischformat) verwendet, z. B. Selbstauskunft durch den Prozesseigentümer oder die -eigentümerin, Fragebogens, Einzelinterviews mit verschiedenen Personen (z. B. Leitenden der Organisationseinheiten, Prozesszuständigen oder sonstigen Prozessfachleuten, die Auskunft geben können) oder Workshops mit mehreren Personen.

– Bei der Bewertung des Schadenspotenzials eines Geschäftsprozesses wurde der ungünstige Zeitpunkt berücksichtigt, da der Ausfall dieses Geschäftsprozesses aufgrund der gesetzlichen Vorgaben besonders in diesem Zeitpunkt einen hohen Schaden verursachen könnte.

– Bei der Identifizierung der RTO der Geschäftsprozesse ergaben sich ab und zu Schwierigkeiten, da der Unterschied zwischen RTO (Recovery Time Objective) und RTA (Recovery Time Actual) den Fachexperten nicht ganz klar war. Während die RTO ein Soll-Wert und für die Planung relevant ist, ist die RTA ein IST-Wert, die durch Test und Übungen oder ein tatsächliches Ereignis, wie Cyberangriff festgestellt werden kann.

Quellen

Bei der Vorbereitung dieses Artikels wurden folgende Quellen genutzt:    

  • Diverse Hilfsmittel zum BSI-Standard 200-4
  • BSI-Standard 200-4 Business Continuity Management (BCM)